EUのGDPR(EU一般データ保護規則)が5月25日、発効した。EU法には「指令」と「規則」の2つがあり、指令は各国の法整備を経て効力を有するのに対し、規則は各国の法整備なく直接的にEU域内に効力を発する。GDPRも、EU立法府である欧州議会とEU理事会の審議を経て、2016年4月27日採択。2年の移行期間を設け、5月25日に発効することが決まっていた。
GDPRは、EU加盟28カ国の個人情報が保護の対象となる。個人情報には、氏名、住所、位置データ、IPアドレス、クレジットカード番号、クッキー履歴等全てが含まれる。ルールの対象は、EU域内及び域外を問わず、EU加盟国の個人情報を扱うデータ管理者やデータ処理者で、収集する個人情報の内容と利用目的について、明確かつ簡潔に説明する義務が課された。日本にも以前から個人情報保護法があるが、GDPRは、個人情報漏洩だけでなく、個人情報の匿名加工についても規制の主眼となっており、個人が特定されない履歴データ等を用いた加工も本人の同意が必要となる。
さらに、市民は、企業が保管する自分の個人情報データにアクセスする権利、不正確な情報を修正または削除する権利、アルゴリズム等で活用されることを制限する権利等が明確に与えられ、企業はこれら権利を保護する義務も負った。
違反による罰金も桁外れだ。GDPRの義務内容に違反した場合、前年度の企業グループ全体の全世界の売上の4%もしくは2,000万ユーロのいずれか高い額が制裁金として課される。仮に子会社が違反した場合も、親会社も含む形でグループ全体の売上が計算される。
それにより、GDPRが発効する5月25日前後には、EU域内の企業やグローバル企業から、個人情報に関する同意を求めるメールが大量に送信され、メールボックスがプライバシー同意のメールで埋め尽くされる事態が発生した。背景には、いち早く対応を行ったグーグルやフェイスブックの対応を、他の企業が察知し、同様の同意獲得に動いたという事情がある。しかし、どのような対応をするのがベストなのかについては、専門家の間でも意見が分かれている。
発効日の5月25日、データ権利保護訴える欧州NGOのnyobは、大手4社の対応が不適切だとして訴訟を起こした。訴えられたのはグーグル(フランスで訴訟)、インスタグラム(ベルギーで訴訟)、WhatsApp(ドイツで訴訟)、フェイスブック(オーストリアで訴訟)。訴状の内容は、結局は個人情報の取得と利用に関する同意をしなければ4社のサービス利用を継続することができず、GDPRが禁止している個人情報同意の強要が発生していると主張している。そのため、サービス利用に本当に必要なデータを明確にし、利用の可否をユーザーが選択できるようにすべきだと訴えた。nyobは、活動のための寄付を一般市民に呼びかけており、nyobのホームページでは次々と寄付がなされている様子が公表されている。
情報法に詳しい英法律事務所Winckworth SherwoodのToni Vitale弁護士も、GDPRの備考171項は、GDPR以前に必要な同意が取得できているケースは再度同意を取得する必要がないことを強調している。また再取得しなければいけない場合には、そもそも取得を確認するメールを送るという行為が、個人情報保有者本人から許可されているか、すなわちGDPR違反に当たらないかに細心の注意を払うよう呼びかけている。とりわけ、現在EUが審議している別のEU法「eプライバシー規則」では、マーケティング活動に利用するために、個人情報の取得と利用の同意を求めるメールを送る行為そのものが禁止される見込みだ。
具体的に留意すべきなのは、営業アポイントメント時やセミナー等で獲得した名刺に記載されているメールアドレスに、マーケティング目的でメールを送ったり、同意がないままメーリングリストに追加したりするケースだ。日本でも「これまでに名刺交換させて頂いた方々にメールマガジンをお送りしています」はよく見かける。あらためてメールマガジン送付の同意を取ろうと、そのメールマガジンを活用して同意を求める行為も禁止されている。すなわち、マーケティング目的でメールアドレスを使う場合には、最初からメールマガジンを送ることについての本人の同意が必要となる。
【参照ページ】GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook
【参照ページ】Most GDPR emails unnecessary and some illegal, say experts
【参照ページ】「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
【条文】GDPR
EUのGDPR(EU一般データ保護規則)が5月25日、発効した。EU法には「指令」と「規則」の2つがあり、指令は各国の法整備を経て効力を有するのに対し、規則は各国の法整備なく直接的にEU域内に効力を発する。GDPRも、EU立法府である欧州議会とEU理事会の審議を経て、2016年4月27日採択。2年の移行期間を設け、5月25日に発効することが決まっていた。
GDPRは、EU加盟28カ国の個人情報が保護の対象となる。個人情報には、氏名、住所、位置データ、IPアドレス、クレジットカード番号、クッキー履歴等全てが含まれる。ルールの対象は、EU域内及び域外を問わず、EU加盟国の個人情報を扱うデータ管理者やデータ処理者で、収集する個人情報の内容と利用目的について、明確かつ簡潔に説明する義務が課された。日本にも以前から個人情報保護法があるが、GDPRは、個人情報漏洩だけでなく、個人情報の匿名加工についても規制の主眼となっており、個人が特定されない履歴データ等を用いた加工も本人の同意が必要となる。
さらに、市民は、企業が保管する自分の個人情報データにアクセスする権利、不正確な情報を修正または削除する権利、アルゴリズム等で活用されることを制限する権利等が明確に与えられ、企業はこれら権利を保護する義務も負った。
違反による罰金も桁外れだ。GDPRの義務内容に違反した場合、前年度の企業グループ全体の全世界の売上の4%もしくは2,000万ユーロのいずれか高い額が制裁金として課される。仮に子会社が違反した場合も、親会社も含む形でグループ全体の売上が計算される。
それにより、GDPRが発効する5月25日前後には、EU域内の企業やグローバル企業から、個人情報に関する同意を求めるメールが大量に送信され、メールボックスがプライバシー同意のメールで埋め尽くされる事態が発生した。背景には、いち早く対応を行ったグーグルやフェイスブックの対応を、他の企業が察知し、同様の同意獲得に動いたという事情がある。しかし、どのような対応をするのがベストなのかについては、専門家の間でも意見が分かれている。
発効日の5月25日、データ権利保護訴える欧州NGOのnyobは、大手4社の対応が不適切だとして訴訟を起こした。訴えられたのはグーグル(フランスで訴訟)、インスタグラム(ベルギーで訴訟)、WhatsApp(ドイツで訴訟)、フェイスブック(オーストリアで訴訟)。訴状の内容は、結局は個人情報の取得と利用に関する同意をしなければ4社のサービス利用を継続することができず、GDPRが禁止している個人情報同意の強要が発生していると主張している。そのため、サービス利用に本当に必要なデータを明確にし、利用の可否をユーザーが選択できるようにすべきだと訴えた。nyobは、活動のための寄付を一般市民に呼びかけており、nyobのホームページでは次々と寄付がなされている様子が公表されている。
情報法に詳しい英法律事務所Winckworth SherwoodのToni Vitale弁護士も、GDPRの備考171項は、GDPR以前に必要な同意が取得できているケースは再度同意を取得する必要がないことを強調している。また再取得しなければいけない場合には、そもそも取得を確認するメールを送るという行為が、個人情報保有者本人から許可されているか、すなわちGDPR違反に当たらないかに細心の注意を払うよう呼びかけている。とりわけ、現在EUが審議している別のEU法「eプライバシー規則」では、マーケティング活動に利用するために、個人情報の取得と利用の同意を求めるメールを送る行為そのものが禁止される見込みだ。
具体的に留意すべきなのは、営業アポイントメント時やセミナー等で獲得した名刺に記載されているメールアドレスに、マーケティング目的でメールを送ったり、同意がないままメーリングリストに追加したりするケースだ。日本でも「これまでに名刺交換させて頂いた方々にメールマガジンをお送りしています」はよく見かける。あらためてメールマガジン送付の同意を取ろうと、そのメールマガジンを活用して同意を求める行為も禁止されている。すなわち、マーケティング目的でメールアドレスを使う場合には、最初からメールマガジンを送ることについての本人の同意が必要となる。
【参照ページ】GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook
【参照ページ】Most GDPR emails unnecessary and some illegal, say experts
【参照ページ】「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
【条文】GDPR
EUのGDPR(EU一般データ保護規則)が5月25日、発効した。EU法には「指令」と「規則」の2つがあり、指令は各国の法整備を経て効力を有するのに対し、規則は各国の法整備なく直接的にEU域内に効力を発する。GDPRも、EU立法府である欧州議会とEU理事会の審議を経て、2016年4月27日採択。2年の移行期間を設け、5月25日に発効することが決まっていた。
GDPRは、EU加盟28カ国の個人情報が保護の対象となる。個人情報には、氏名、住所、位置データ、IPアドレス、クレジットカード番号、クッキー履歴等全てが含まれる。ルールの対象は、EU域内及び域外を問わず、EU加盟国の個人情報を扱うデータ管理者やデータ処理者で、収集する個人情報の内容と利用目的について、明確かつ簡潔に説明する義務が課された。日本にも以前から個人情報保護法があるが、GDPRは、個人情報漏洩だけでなく、個人情報の匿名加工についても規制の主眼となっており、個人が特定されない履歴データ等を用いた加工も本人の同意が必要となる。
さらに、市民は、企業が保管する自分の個人情報データにアクセスする権利、不正確な情報を修正または削除する権利、アルゴリズム等で活用されることを制限する権利等が明確に与えられ、企業はこれら権利を保護する義務も負った。
違反による罰金も桁外れだ。GDPRの義務内容に違反した場合、前年度の企業グループ全体の全世界の売上の4%もしくは2,000万ユーロのいずれか高い額が制裁金として課される。仮に子会社が違反した場合も、親会社も含む形でグループ全体の売上が計算される。
それにより、GDPRが発効する5月25日前後には、EU域内の企業やグローバル企業から、個人情報に関する同意を求めるメールが大量に送信され、メールボックスがプライバシー同意のメールで埋め尽くされる事態が発生した。背景には、いち早く対応を行ったグーグルやフェイスブックの対応を、他の企業が察知し、同様の同意獲得に動いたという事情がある。しかし、どのような対応をするのがベストなのかについては、専門家の間でも意見が分かれている。
発効日の5月25日、データ権利保護訴える欧州NGOのnyobは、大手4社の対応が不適切だとして訴訟を起こした。訴えられたのはグーグル(フランスで訴訟)、インスタグラム(ベルギーで訴訟)、WhatsApp(ドイツで訴訟)、フェイスブック(オーストリアで訴訟)。訴状の内容は、結局は個人情報の取得と利用に関する同意をしなければ4社のサービス利用を継続することができず、GDPRが禁止している個人情報同意の強要が発生していると主張している。そのため、サービス利用に本当に必要なデータを明確にし、利用の可否をユーザーが選択できるようにすべきだと訴えた。nyobは、活動のための寄付を一般市民に呼びかけており、nyobのホームページでは次々と寄付がなされている様子が公表されている。
情報法に詳しい英法律事務所Winckworth SherwoodのToni Vitale弁護士も、GDPRの備考171項は、GDPR以前に必要な同意が取得できているケースは再度同意を取得する必要がないことを強調している。また再取得しなければいけない場合には、そもそも取得を確認するメールを送るという行為が、個人情報保有者本人から許可されているか、すなわちGDPR違反に当たらないかに細心の注意を払うよう呼びかけている。とりわけ、現在EUが審議している別のEU法「eプライバシー規則」では、マーケティング活動に利用するために、個人情報の取得と利用の同意を求めるメールを送る行為そのものが禁止される見込みだ。
具体的に留意すべきなのは、営業アポイントメント時やセミナー等で獲得した名刺に記載されているメールアドレスに、マーケティング目的でメールを送ったり、同意がないままメーリングリストに追加したりするケースだ。日本でも「これまでに名刺交換させて頂いた方々にメールマガジンをお送りしています」はよく見かける。あらためてメールマガジン送付の同意を取ろうと、そのメールマガジンを活用して同意を求める行為も禁止されている。すなわち、マーケティング目的でメールアドレスを使う場合には、最初からメールマガジンを送ることについての本人の同意が必要となる。
【参照ページ】GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook
【参照ページ】Most GDPR emails unnecessary and some illegal, say experts
【参照ページ】「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
【条文】GDPR
ここから先は有料登録会員限定のコンテンツとなります。有料登録会員へのアップグレードを行って下さい。
EUのGDPR(EU一般データ保護規則)が5月25日、発効した。EU法には「指令」と「規則」の2つがあり、指令は各国の法整備を経て効力を有するのに対し、規則は各国の法整備なく直接的にEU域内に効力を発する。GDPRも、EU立法府である欧州議会とEU理事会の審議を経て、2016年4月27日採択。2年の移行期間を設け、5月25日に発効することが決まっていた。
GDPRは、EU加盟28カ国の個人情報が保護の対象となる。個人情報には、氏名、住所、位置データ、IPアドレス、クレジットカード番号、クッキー履歴等全てが含まれる。ルールの対象は、EU域内及び域外を問わず、EU加盟国の個人情報を扱うデータ管理者やデータ処理者で、収集する個人情報の内容と利用目的について、明確かつ簡潔に説明する義務が課された。日本にも以前から個人情報保護法があるが、GDPRは、個人情報漏洩だけでなく、個人情報の匿名加工についても規制の主眼となっており、個人が特定されない履歴データ等を用いた加工も本人の同意が必要となる。
さらに、市民は、企業が保管する自分の個人情報データにアクセスする権利、不正確な情報を修正または削除する権利、アルゴリズム等で活用されることを制限する権利等が明確に与えられ、企業はこれら権利を保護する義務も負った。
違反による罰金も桁外れだ。GDPRの義務内容に違反した場合、前年度の企業グループ全体の全世界の売上の4%もしくは2,000万ユーロのいずれか高い額が制裁金として課される。仮に子会社が違反した場合も、親会社も含む形でグループ全体の売上が計算される。
それにより、GDPRが発効する5月25日前後には、EU域内の企業やグローバル企業から、個人情報に関する同意を求めるメールが大量に送信され、メールボックスがプライバシー同意のメールで埋め尽くされる事態が発生した。背景には、いち早く対応を行ったグーグルやフェイスブックの対応を、他の企業が察知し、同様の同意獲得に動いたという事情がある。しかし、どのような対応をするのがベストなのかについては、専門家の間でも意見が分かれている。
発効日の5月25日、データ権利保護訴える欧州NGOのnyobは、大手4社の対応が不適切だとして訴訟を起こした。訴えられたのはグーグル(フランスで訴訟)、インスタグラム(ベルギーで訴訟)、WhatsApp(ドイツで訴訟)、フェイスブック(オーストリアで訴訟)。訴状の内容は、結局は個人情報の取得と利用に関する同意をしなければ4社のサービス利用を継続することができず、GDPRが禁止している個人情報同意の強要が発生していると主張している。そのため、サービス利用に本当に必要なデータを明確にし、利用の可否をユーザーが選択できるようにすべきだと訴えた。nyobは、活動のための寄付を一般市民に呼びかけており、nyobのホームページでは次々と寄付がなされている様子が公表されている。
情報法に詳しい英法律事務所Winckworth SherwoodのToni Vitale弁護士も、GDPRの備考171項は、GDPR以前に必要な同意が取得できているケースは再度同意を取得する必要がないことを強調している。また再取得しなければいけない場合には、そもそも取得を確認するメールを送るという行為が、個人情報保有者本人から許可されているか、すなわちGDPR違反に当たらないかに細心の注意を払うよう呼びかけている。とりわけ、現在EUが審議している別のEU法「eプライバシー規則」では、マーケティング活動に利用するために、個人情報の取得と利用の同意を求めるメールを送る行為そのものが禁止される見込みだ。
具体的に留意すべきなのは、営業アポイントメント時やセミナー等で獲得した名刺に記載されているメールアドレスに、マーケティング目的でメールを送ったり、同意がないままメーリングリストに追加したりするケースだ。日本でも「これまでに名刺交換させて頂いた方々にメールマガジンをお送りしています」はよく見かける。あらためてメールマガジン送付の同意を取ろうと、そのメールマガジンを活用して同意を求める行為も禁止されている。すなわち、マーケティング目的でメールアドレスを使う場合には、最初からメールマガジンを送ることについての本人の同意が必要となる。
【参照ページ】GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook
【参照ページ】Most GDPR emails unnecessary and some illegal, say experts
【参照ページ】「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
【条文】GDPR